V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
XuanYuan
V2EX  ›  问与答

紧急求助:朋友公司电脑中了 cryptowall 2.0 病毒,所有电子文件被加密。嫌犯要求 24 小时内支付 750 刀,否则加倍,到达一定时限就“撕票” ……第一个时限是 14 号(周五)下午 3 点半……… 希望有高人出手!感恩!

  XuanYuan · 2014-11-13 23:48:41 +08:00 · 24202 次点击
这是一个创建于 3650 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言  ·  2014-11-14 21:25:30 +08:00
最新进展:那个勒索网页上写的期限是20/11/14-15:28,本来以为是11月14日,后来才反应过来是11月20日(日/月/年)~所以说还有5天多的时间可以努力~
第 2 条附言  ·  2014-11-14 21:26:22 +08:00
那封邮件下周一上班了我让她转发给我~
第 3 条附言  ·  2014-11-17 18:37:07 +08:00
有人想看邮件,那就看吧……最搞笑的就是 Symantec……哈哈哈哈哈哈哈


第 4 条附言  ·  2014-11-20 18:29:12 +08:00
今天是最后时限,朋友已付款。
查了一下,对方从10月19号到今天已经收了3笔,然后转出了3笔,金额分别是2+1.85389733+2.03 BTC(页面上显示的对应美金分别是779.1+736.81+739.73=2255.64),合人民币13802.26……算下来也不多嘛 =,=
164 条回复    2014-11-20 18:30:13 +08:00
1  2  
gqfBzoLVY3Wl4Tng
    101
gqfBzoLVY3Wl4Tng  
   2014-11-14 14:11:20 +08:00
@XuanYuan twitter喇
ANT1FLAG
    102
ANT1FLAG  
   2014-11-14 14:12:57 +08:00
人肉他打他一顿好了。这个方案最偏题了。
xuwenmang
    103
xuwenmang  
   2014-11-14 14:19:19 +08:00
@BlueFly [你真特么搞笑],这句话你应该回家对你父母说!
cvrock
    104
cvrock  
   2014-11-14 14:22:44 +08:00
尝试数据恢复,毕竟是加密后删除了文件,如果删除手法不够老道,是可以恢复的。
如果无法恢复,报警以保留证据,然后给打钱,解密就别想了,除非对方只是想逗你玩。
BlueFly
    105
BlueFly  
   2014-11-14 14:53:58 +08:00
@xuwenmang 在这问题上居然能说到备案还只是智商的问题,无论怎么样的争议,都是你跟我之间的事,但是你居然又拉上讨论者父母,那就人品的问题,连起码人品都没有,垃圾!拉黑
kiritoalex
    106
kiritoalex  
   2014-11-14 14:59:46 +08:00 via Android
@PP +1,正式如此
icedx
    107
icedx  
   2014-11-14 15:00:17 +08:00 via Android
求曝光网站地址
kiritoalex
    108
kiritoalex  
   2014-11-14 15:04:17 +08:00 via Android
@jason52 现在EQ,TF已经淡出了,主要是连win7都不兼容,所以差不多折腾ESS的hips.和comodo.当然Mcafee VSE也可编写规则,不过只能覆盖FD.RD.mcafee HIP可以覆盖到ND
kiritoalex
    109
kiritoalex  
   2014-11-14 15:07:34 +08:00 via Android
@BlueFly 还真不知道idm有此妙用,其实主要是因为idm要加驱,所以无论什么软件几乎都可以分析出下载地址😁:)
brando
    110
brando  
   2014-11-14 15:13:37 +08:00
重现the good wife情景。
wezzard
    111
wezzard  
   2014-11-14 15:15:49 +08:00
不知道處理得如何了,都三點一刻了
mailunion
    112
mailunion  
   2014-11-14 15:23:08 +08:00
还有 7 分钟,感觉宇宙要爆炸了。
k2wen
    113
k2wen  
   2014-11-14 15:28:17 +08:00
还有2分钟 怎么办
k2wen
    114
k2wen  
   2014-11-14 15:28:32 +08:00
还有2分钟 怎么办?!
x86
    115
x86  
   2014-11-14 15:29:11 +08:00
等结果
zdkmygod
    116
zdkmygod  
   2014-11-14 15:30:37 +08:00
到点了,坐等结果
alex321
    117
alex321  
   2014-11-14 15:31:17 +08:00
现在 15:30 啦。
xuwenmang
    118
xuwenmang  
   2014-11-14 15:33:01 +08:00
@BlueFly

你:你真特么搞笑
我:[你真特么搞笑],这句话你应该回家对你父母说!
你:你居然又拉上讨论者父母,那就人品的问题,连起码人品都没有,垃圾!拉黑

你真特么的搞笑,你的真特么的是什么意思?难道我误会了?你的真特么的不是说你父母?
BlueFly
    119
BlueFly  
   2014-11-14 15:40:31 +08:00
@kiritoalex 是的,IDM是驱动层拦截。包括一些软件的自动更新也能拦截下来。当然任何下载请求都拦截都要确认也是挺烦人,这就要在安全和方便取舍了,并且也只是拦截,分析还得自己来,都确定都放行等于没有
wzxjohn
    120
wzxjohn  
   2014-11-14 15:47:42 +08:00 via iPhone
@BlueFly 烦归烦,我觉得挺好~话说SSM似乎跟Win8之类不太兼容了?好久没用过了。。。现在只在虚拟机里装了。。。
wzxjohn
    121
wzxjohn  
   2014-11-14 15:48:08 +08:00 via iPhone
到点了,问问后续?
BlueFly
    122
BlueFly  
   2014-11-14 15:50:35 +08:00
@kiritoalex 以前XP时代,老毛子的SSM非常好用,光免费版功能足够强大。后来也用过其他,反而都找不到感觉。家用一直都不装杀软,公司机子(非IT企业)倒是都装个mcafee virusscan 企业版,当然只是D的 -__-
BlueFly
    123
BlueFly  
   2014-11-14 16:00:10 +08:00
@wzxjohn SSM已经是老皇历,XP时代的事了,早就不更新了,N年前就已经停止开发,查了下,只支持到vista,更不要说7、8了。 不过认真说句,俄毛子技术的确牛B,话说当年功能非常的亮眼,后台运行什么,想加载什么,通通知道,那些捆绑软件通通显形。好多东西都是由它开启的,后来才涌现其他HIPS软件
P013onEr
    124
P013onEr  
   2014-11-14 16:07:04 +08:00
Boom~!
wzxjohn
    125
wzxjohn  
   2014-11-14 16:14:44 +08:00 via iPhone
@BlueFly 我就说最近找不到能用的了。。。唉。。。果然安全圈子更新挺快。。。现在有啥好用的推荐么?免费付费都可以。
Phariel
    126
Phariel  
   2014-11-14 16:14:52 +08:00
楼主,快更啊,到点了啊!
BlueFly
    127
BlueFly  
   2014-11-14 16:23:43 +08:00
@wzxjohn 现在不敢说,毕竟好久没用过,查了下,好多都停更了。果然comodo最耐操,不过我对它印象一般。 你可以看下这帖子,http://bbs.kafan.cn/thread-1779788-1-1.html
foxni
    128
foxni  
   2014-11-14 16:26:07 +08:00
楼主,求结果啊~
BlueFly
    129
BlueFly  
   2014-11-14 16:30:14 +08:00
@kiritoalex TF残念啊,用过一段时间,感觉还行。pctools可是DOS时代就牛B的软件,被大公司收购就轮为玩具、弃儿。我可是持有 pctools.cn ,就等赛门铁克收购…… (︶︹︺)
yuankui
    130
yuankui  
   2014-11-14 17:17:20 +08:00
用mac没事了呗..
homever
    131
homever  
   2014-11-14 17:19:59 +08:00
。。。。看楼上几个都要等哭了
crab
    132
crab  
   2014-11-14 17:44:41 +08:00
@wzxjohn 那会刚出主动防御也是用SSM,现在64位驱动不能随便加载基本是没啥事情。
kiritoalex
    133
kiritoalex  
   2014-11-14 18:30:29 +08:00
@BlueFly TF卡出翔,所以放弃了,我估计他本来的驱动就有些问题
BlueFly
    134
BlueFly  
   2014-11-14 18:58:17 +08:00
@kiritoalex 没有吧,我倒是觉得TF略简单。
blacktulip
    135
blacktulip  
   2014-11-14 19:00:18 +08:00
我建议楼主说说是怎么中招的,也好让大家有个防范。
geew
    136
geew  
   2014-11-14 19:00:19 +08:00
忘了从什么时候开始一直裸奔 倒也是没碰到病毒神马的 不过这个作者也真是变态
XuanYuan
    137
XuanYuan  
OP
   2014-11-14 19:16:43 +08:00
哈哈,要不是朋友提醒还不知道这么多人等着知道结果……让我先保密一会儿。

btw,我其实是香港 version-2 大陆子公司第一批员工,早年混 kafan 的朋友应该知道这家公司是做什么的……
blacktulip
    138
blacktulip  
   2014-11-14 19:20:39 +08:00
@XuanYuan 还有心情保密,看来问题是解决了
wsph123
    139
wsph123  
   2014-11-14 19:20:41 +08:00
@XuanYuan 卧槽已经快成段子了!!!快别卖关子惹OAAQ
andybest
    140
andybest  
   2014-11-14 19:21:08 +08:00
@XuanYuan 速度写个详细结果报告!!!
azuginnen
    141
azuginnen  
   2014-11-14 19:24:37 +08:00 via Android
赶紧报告!!!!!
x86
    142
x86  
   2014-11-14 19:32:55 +08:00 via iPhone
卧槽还保密,速度更新呀
xifangczy
    143
xifangczy  
   2014-11-14 20:03:00 +08:00
@BlueFly 哈哈 我以前用mcafee企业版分析病毒,mcafee的日志很详细。
zhouquanbest
    144
zhouquanbest  
   2014-11-14 20:05:33 +08:00
这玩意现在Android上也有
写起来也容易 然后伪装下叫个什么xxx免费版 破解版 一堆人下


PS:
LZ快更啊
Keinez
    145
Keinez  
   2014-11-14 20:06:43 +08:00
@XuanYuan ESET?
lyragosa
    146
lyragosa  
   2014-11-14 20:08:12 +08:00
坐等后续,强迫症急死了
sanddudu
    147
sanddudu  
   2014-11-14 20:13:53 +08:00
@XuanYuan 是个软件代理商
看了下,目前有代理 ESET。
搜了下以前的,还有代理过 Outpost?
ljc
    148
ljc  
   2014-11-14 20:33:27 +08:00
ransomware
won
    149
won  
   2014-11-14 20:49:34 +08:00
@XuanYuan 借公司的车,但不是执行公务,如果再加上非工作时间,就肯定是个人全责了
@Elix 笔记本如果是在路上,不属于工作环境下使用,肯定是个人全责,而且笔记本意外险也不会赔。意外险理赔的前提是,公安局或其他权威机构出具判决书
XuanYuan
    150
XuanYuan  
OP
   2014-11-14 21:31:02 +08:00 via iPhone
已经更新啦!周一继续。

那封病毒邮件我周一提供,想中毒的朋友莫要着急哈!
azuginnen
    151
azuginnen  
   2014-11-14 21:32:53 +08:00 via Android
我去,楼主太坑爹了啦。打钱没
kmvan
    152
kmvan  
   2014-11-14 21:33:24 +08:00
这好流氓,要是我是公司老板,丢数据也不给你钱,怎么着?
XuanYuan
    153
XuanYuan  
OP
   2014-11-14 21:37:36 +08:00 via iPhone
@kmvan 你要是老板肯定不会这么说←_←
jings
    154
jings  
   2014-11-14 22:25:46 +08:00
好吧 一开始以为是钓鱼贴 没想到还。。。
cchange
    155
cchange  
   2014-11-14 22:27:35 +08:00
我还发过一个这个介绍这个病毒的帖子,只是看了介绍就觉得恐怖 当时就装了杀毒软件了

据说FBI联合好几个捣毁了一个,把CC服务器给端了 : http://www.freebuf.com/news/35848.html 僵尸病毒网络Gameover Zeus被捣毁

但是恐怖的是这个软件编写的逻辑太智能了,不仅走Tor,就连不走Tor也是用算法生成的域名去连接。

http://www.v2ex.com/t/98049 其内部的链接会指向一些介绍
wadezhao
    156
wadezhao  
   2014-11-14 22:28:27 +08:00
还努力啥,老实打钱吧………………

退一万步说,就算真有解决方案,人家也不会免费帮你这个忙啊………………
chenshaoju
    157
chenshaoju  
   2014-11-15 00:57:31 +08:00
@cchange 刚看了一下,“会尝试删除卷影拷贝”,如果是Win7+UAC保护的情况下,理论上很难已删除。对于系统还原和卷阴影的操作都需要管理员权限。
PP
    158
PP  
   2014-11-15 06:19:03 +08:00 via iPad
那封邮件可以打印存证,但不可以转发。目前事件如何处理未有眉目,贵友与其公司冲突仍在,未经公司授权转发此邮件,岂非授人以柄。
hx1997
    159
hx1997  
   2014-11-15 10:26:34 +08:00
@chenshaoju 但是大多数人的 UAC 都是默认级别,只要利用 UAC 白名单就能轻松过。更别提可能还存在一些地下黑魔法可以过 UAC 了,UAC 不是安全边界,被过了微软也不管。
chenshaoju
    160
chenshaoju  
   2014-11-15 15:14:48 +08:00
@hx1997 我的是密码级的UAC,就算登录后,任何触发UAC的请求都会要求二次验证密码。有点类似于sudu。
hx1997
    161
hx1997  
   2014-11-15 15:22:55 +08:00 via Android
@chenshaoju 只要是默认级别(系统程序不提示)就没用。所以我开的最高级和要求密码验证。
raptor
    162
raptor  
   2014-11-16 15:55:05 +08:00
所以说,用ZFS每天对文件系统作快照备份才是王道
XuanYuan
    163
XuanYuan  
OP
   2014-11-17 18:38:01 +08:00
邮件来了,嗯。
想要链接的人,我才不给你们呢……那就成投毒了。 ^^
XuanYuan
    164
XuanYuan  
OP
   2014-11-20 18:30:13 +08:00
顶楼已更新进度!
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5807 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 01:48 · PVG 09:48 · LAX 17:48 · JFK 20:48
Developed with CodeLauncher
♥ Do have faith in what you're doing.